Diagnóstico LGPD

Qual o porte da empresa?

Quantos colaboradores há na empresa?

Qual seu principal tipo de cliente?

Qual é o setor da sua empresa?

A empresa realiza o tratamento de dados pessoais sensíveis (filiação com sindicatos, orientação religiosa, dado referente à saúde ou à vida sexual, dentre outros) e/ou de crianças e adolescentes?

Quando aplicável, o consentimento é obtido por escrito de forma clara, precisa e objetiva, esclarecendo as finalidades para as quais os dados serão tratados?

A empresa garante ao titular de dados pessoais o direito de retirar o consentimento para tratamento de dados a qualquer momento (opt-out)?

A empresa possui um aviso de privacidade para os titulares de dados pessoais nos quais as informações sobre o tratamento de seus dados são disponibilizadas de forma clara, adequada e ostensiva?

A empresa realiza o tratamento de dados pessoais de acordo com as bases legais (consentimento, contrato, legítimo interesse, dentre outras) específicas previstas na LGPD?

Se os dados pessoais são compartilhados com terceiros, existe formalização contratual dessa operação?

Em relação aos dados pessoais coletados, sejam físicos ou virtuais, existem mecanismos de controle de acesso de terceiros e colaboradores?

A empresa possui uma política periódica e procedimentos para eliminação de dados pessoais?

A empresa possui um procedimento para atender às solicitações dos titulares (acesso, retificação, eliminação, portabilidade de dados pessoais)?

A empresa possui a capacidade de categorizar os dados pessoais tratados de acordo com seus respectivos titulares?

A empresa possui procedimento para disponibilização e acesso dos dados pessoais de seus titulares caso venham a ser solicitados em até 15 dias após o requerimento?

A empresa possui registros de todos os dados pessoais por ela tratados e seus respectivos titulares?

A empresa nomeou um Encarregado (Data Protection Officer - DPO)?

A empresa limita o tratamento de dados pessoais ao mínimo necessário para os fins específicos que justificam a sua coleta?

A empresa possui políticas, procedimentos, e medidas protetivas (e.g., controles de acesso, criptografia, modificação de dados, mascaramento de dados, backup) que asseguram a segurança e garantia de conformidade com os regulamentos/leis de privacidade?

A empresa possui um programa de governança em privacidade?

A empresa conduz avaliações de vulnerabilidade e testes de penetração em seus sistemas de tratamento de dados pessoais?

A empresa possui algum certificado de segurança da informação (ex., ISO 27001)?

A empresa promove treinamentos obrigatórios para os funcionários, conscientizando-os sobre a importância e sobre suas responsabilidades em relação à privacidade e proteção de dados pessoais?

Os terceiros que trabalham com a empresa recebem algum tipo de orientação acerca das normas e diretrizes da empresa acerca do tema de privacidade e proteção de dados?

A empresa exige que seus funcionários e prestadores de serviços assinem algum termo de confidencialidade acerca dos dados tratados?

A empresa instrui seus funcionários e contratados a limitar o armazenamento de dados pessoais do cliente em dispositivos de armazenamento móvel ao mínimo exigido para fins comerciais?

A empresa possui um processo apropriado para agir rapidamente e notificar os titulares de dados pessoais sobre uma violação de dados, quando aplicável?

A empresa é capaz de detectar rapidamente incidentes de segurança (e.g., incluindo acesso não autorizado, destruição, perda, alteração e violações de dados)?

29. Os contratos com parceiros da empresa possuem cláusulas compatíveis com os termos e condições das leis de proteção de dados, em vigor?

30. Os contratos de trabalho da empresa possuem cláusulas compatíveis com os termos e condições das leis de proteção de dados, em vigor?

31. A empresa possui uma metodologia de avaliação de risco de privacidade e proteção de dados para fins de negociação com terceiros?

32. A empresa possui políticas de privacidade (interna e externa) e boas práticas com relação a proteção de dados pessoais alinhadas com as regras da LGPD?